Como você rastreia / depura conexões LDAP no Active Directory?

13

Sou mimado e tenho feito a maior parte do meu trabalho LDAP com o eDirectory, que possui um utilitário chamado DSTrace, que é adorável e, especificamente para o LDAP, mostrará todas as tentativas de ligação, os IPs de origem, as pesquisas transmitidas, um resumo dos objetos correspondentes retornados.

Ao depurar um aplicativo LDAP, como o SAP GRC, fui capaz de descobrir o que o aplicativo estava fazendo de errado, apenas observando o que ele fazia.

Eu sei que o log de eventos de segurança terá algumas dessas informações (pelo menos tentativas de ligação), mas tem que haver uma maneira melhor? Existe alguma funcionalidade?

Vejo uma pergunta Depurando o AD que está próximo, mas sugere apenas eventos de login. Preciso de muito mais diariamente para gerenciar aplicativos LDAP.

active-directory ldap trace geoffc
fonte
Nada específico incluído no Windows, receio, além de utilitários, trabalhar com instâncias como ldp.exe, ADSI Edit e Schema Management, mas eles não fornecerão em tempo real "o que o aplicativo está fazendo?" resultados que você procura. Algo como o Spotlight da Quest no AD Pack pode conter algo semelhante ao que você está falando? Embora não seja grátis!
Lewis
Estou morrendo de vontade de ter uma boa resposta para isso também. Tenho uma necessidade semelhante de rastrear conexões LDAP para um problema que estamos tendo. Infelizmente, a melhor coisa que consegui sugerir é algum tipo de captura de pacote Wireshark / Netmon, que é realmente feia.
precisa
Interessante artigo sobre a equipe de serviço de diretório blog sobre a configuração do Monitor de rede para analisar LDAP: blogs.technet.com/b/askds/archive/2011/05/27/...
Lewis

Respostas:

6

Para o monitoramento em tempo real do LDAP, você pode tentar a ferramenta Sysinternals ADInsight .

litoral
fonte
1
Sean - apenas para informar que você acionou nosso 'alarme de spam', pois recebemos muitas novas contas com links imediatamente para sites externos. Dei uma olhada e não é, obviamente, spam, mas pensei que você deve saber para o futuro ok :)
Chopper3
Isso parece muito interessante, baixando para testar.
#
Obrigado pela informação. Presumivelmente, não será um problema no futuro desde que minha conta foi criada.
shorinsean 15/06
1
parece que a ferramenta não funciona mais, veja aqui serverfault.com/questions/382665/…
Tilo 4/15
2

Você já viu o LDP (ldp.exe) ou está procurando algo mais para monitorar o LDAP em tempo real?

http://support.microsoft.com/kb/224543

Se você estiver procurando mais logs em tempo real, poderá aumentar a verbosidade do log de eventos com o AD Diagnostic Logging:

http://technet.microsoft.com/en-us/library/cc961809.aspx

Ben Short
fonte
1
Como eu usaria o ldp.exe para monitorar ligações e consultas de entrada para solucionar problemas de aplicativos de terceiros? Vou examinar o log de diagnóstico.
geoffc
Infelizmente, o LDP não pode ser usado para monitorar, mas é uma maneira bastante detalhada de testar ligações, consultas etc. para LDAP. É melhor aumentar o nível de log se quiser monitorar o aplicativo em tempo real.
Ben Curto